|
|
Страница 1 из 1
|
[ Сообщений: 23 ] |
|
Заставить ходить пакеты без маршрутизации
Автор |
Сообщение |
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Есть простейшая схема (см. картинку)
Надо заставить ходить пакеты (пинговать, например)
1. Между хостами 10.1.1.1 и 10.2.2.1 (например, telnet с одного маршрутизатора на другой) 2. Между сетями 10.1.1.0/24 и 10.2.2.0/24 (любые 2 хоста из этих сетей могли бы общаться)
Условие: на маршрутизаторах нет ни policy-based routing, ни статических маршрутов. Они знают только о своих непосредственно присоединённых сетях.
ЗЫ Задачка простенькая. Решите - дам посложнее.
Удачи, Сергей
Вложения:
PingNoRoute.jpg [ 7.91 КБ | Просмотров: 100456 ]
PingNoRoute.jpg [ 7.91 КБ | Просмотров: 104162 ]
|
07 май 2009, 08:30 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="Fedia"]Есть простейшая схема (см. картинку)
Условие: на маршрутизаторах нет ни policy-based routing, ни статических маршрутов. Они знают только о своих непосредственно присоединённых сетях. Удачи, Сергей[/quote]
Ничего под рукой нет, что бы проверить... допустим так... извините, если явная ахинея
R1
int tu 0 ip add 192.168.1.1 255.255.255.252 tu sous fa 0/1 tu dest 10.2.2.1 end
int fa 0/1 ip add 10.1.1.1 255.255.255.0 crypto map R1-R2 end
crypto map R1-R2 set peer 10.1.1.100 match address R1-to-R2 .... end
ip access-list extended R1-to-R2 permit gre host 10.1.1.1 host 10.1.1.100 ################
на асе должен будет быть обратный акцесс лист
R2
int tu 0 ip add 192.168.1.2 255.255.255.252 tu sous fa 0/0 tu dest 10.1.1.1 end
что-то в этом роде....
|
07 май 2009, 22:03 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Int tu 0 не поднимется - циска R1 не знает, где адрес 10.2.2.1 Процесс мышления никогда не может быть ахинеей, не наговаривайте на себя
|
08 май 2009, 08:39 |
|
|
Alex
|
Может как вариант повесить "зеркально" секондари адреса на интерфейсы двух роутеров?
|
08 май 2009, 09:37 |
|
|
Alex
|
R1
int fa 0/1 ip add 10.1.1.1 255.255.255.0 ip add 10.2.2.2 255.255.255.0 sec
R2
int fa 0/1 ip add 10.2.2.1 255.255.255.0 ip add 10.1.1.2 255.255.255.0 sec
|
08 май 2009, 09:39 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
А на ASA тогда как быть? С её точки зрения обе сети буду с обеих сторон Не пройдёт ЗЫ Задача решается вообще без изменения конфига крайних рутеров.
|
08 май 2009, 10:05 |
|
|
Ant0shka
Зарегистрирован: 08 май 2009, 09:41 Сообщения: 2
|
Всем здравствуйте!!!
А можно уточнить кое что: можно ли как-нибудь настраивать ASA, которая стоит посередине? Или трогать можно только роутеры?
И можно ли использовать default маршрут на роутерах? (хотя впринципе это та же статика...)
|
08 май 2009, 10:08 |
|
|
Alex
|
[quote="Fedia"]А на ASA тогда как быть? С её точки зрения обе сети буду с обеих сторон :) Не пройдёт :)
ЗЫ Задача решается вообще без изменения конфига крайних рутеров.[/quote] Не понял, как без изменения конфигов крайних роутеров, заставить пакеты ходить через определенный интерфейс, который подключен к аса... В моем случае пакет с R1 будет уходить в Fa0/1, так как есть secondary адрес, причем source будет (если я не ошибаюсь) primary адрес (либо можно явно ставить source), а аса уже будет знать о 2 сетях, так как для неё это connected... обратно пакет будет идти по тому же алгоритму...
|
08 май 2009, 10:22 |
|
|
Ant0shka
Зарегистрирован: 08 май 2009, 09:41 Сообщения: 2
|
А вообще нарисованная ASA принципиальна? Или вместо нее с успехом можно поставить обычный маршрутизатор?
Просто если здесь должна стоять именно ASA, то можно ли узнать ее начальные настройки: какой интерфейс inside, какой outside, или какой DMZ; какой security-lavel на них стоит...
|
08 май 2009, 11:21 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="Fedia"]Есть простейшая схема (см. картинку)
Надо заставить ходить пакеты (пинговать, например) [/quote]
увидеть другую киску не проблема, например так
R1 ! interface FastEthernet0/0 ip address 10.2.2.252 255.255.255.0 secondary ip address 10.1.1.1 255.255.255.0 duplex auto speed auto end
interface Tunnel0 ip address 192.168.1.1 255.255.255.252 tunnel source FastEthernet0/0 tunnel destination 10.2.2.1 end
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ R2
interface FastEthernet0/0 ip address 10.1.1.252 255.255.255.0 secondary ip address 10.2.2.1 255.255.255.0 duplex auto speed auto end
! interface Tunnel0 ip address 192.168.1.2 255.255.255.252 tunnel source FastEthernet0/0 tunnel destination 10.1.1.1 end
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
interface FastEthernet0/0 ip address 10.1.1.100 255.255.255.0 duplex auto speed auto end
interface FastEthernet0/1 ip address 10.2.2.100 255.255.255.0 duplex auto speed auto end
ip route 10.1.1.252 255.255.255.255 FastEthernet0/1 ip route 10.2.2.252 255.255.255.255 FastEthernet0/0
+++++++++++++++++++++++++++++++++++++++++++++++++++
проверяем с R1
R-1#p 192.168.1.2
Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 60/93/164 ms
т.е, пингуем R2....
или этого мало? :-)
|
08 май 2009, 12:35 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="silver"]
или этого мало? :-)[/quote]
ах да..
R-1#telnet 10.2.2.1 /source-interface tu 0 Trying 10.2.2.1 ... Open
User Access Verification
Password: R-2>
+++++++++++++++++++++++++++++++++++++++++++++++++
R-1#ping 10.2.2.1 source tu 0
Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/95/148 ms R-1#
|
08 май 2009, 14:02 |
|
|
lis
Зарегистрирован: 08 май 2009, 16:56 Сообщения: 35
|
Всем привет! А proxy-arp на ASA не спасет отца русской демократии?
|
08 май 2009, 16:59 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
proxy-arp не спасёт - сети разные. А proxy-arp моежт соединить 2 куска одной сети
|
08 май 2009, 19:36 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
2 Silver.
Интересное решение. Мне в голову не приходило. Будем считать, что один способ есть. Правда не понятно, как быть в случае со второй половинкой задачи: с сетями
Ну и тогда усложню для вас: НЕ МЕНЯЯ конфиги крайних рутеров заставить увидеть крайние рутеры друг друга
|
08 май 2009, 19:49 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="Fedia"]2 Silver. Ну и тогда усложню для вас: НЕ МЕНЯЯ конфиги крайних рутеров заставить увидеть крайние рутеры друг друга[/quote]
а если так
нат, на каждый из интерфейсов асы
и явным образом через route-map указываем маршрут на противоположный маршрутизатор, за асой
access-list 1 permit 10.1.1.0 0.0.0.255 access-list 2 permit 10.2.2.0 0.0.0.255
route-map NET1 permit 10 match ip address 1 set ip default next-hop 10.2.2.1
route-map NET2 permit 10 match ip address 2 set ip default next-hop 10.1.1.1
Плюс нат...
int fa 0/1 ip policy route-map NET2 ip nat inside
int fa 0/0 ip policy route-map NET1 ip nat inside
Проверить увы не могу... на домашнем компе при включении ната на Dynamipse - cъезжает крыша :-)
|
08 май 2009, 23:37 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
2 Silver А вы себя не запутываете? Зачем route-map? На крайних рутерах его нельзя вонзить по условию, а на центральном он ИМХО не нужен. А на ASA его вовсе нет Идея про НАТ - правильная.
|
09 май 2009, 09:17 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="Fedia"]2 Silver А вы себя не запутываете? Зачем route-map? На крайних рутерах его нельзя вонзить по условию, а на центральном он ИМХО не нужен. А на ASA его вовсе нет :) Идея про НАТ - правильная.[/quote]
в топку такие задачи :-)
Сам нат, проблем не вызывает:
ASA#sh run | i nat ip nat inside ip nat outside ip nat inside source static 10.1.1.1 10.2.2.2 ip nat outside source static 10.2.2.1 10.1.1.2
т.е, если я обращаюсь с стороны оутсайда, на 10,2,2,2, то это соотв. 10,1,1,1 , и на оборот, если я с инсайда обращаюсь на адрес 10,1,1,2, то это соотв. 10,2,2,1
interface FastEthernet0/0 ip address 10.1.1.100 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto end
interface FastEthernet0/1 ip address 10.2.2.100 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto end
Но, не работает.. хоть ты тресни! два дня жизни в минус! ;-) пока не нашел в инете, что внутри ната вначале маршрутизируются inside сторона, и только затем пакет будет идти по правилам ната для избежания этого нужно прописать роут ip route 10.1.1.2 255.255.255.255 10.2.2.1
вот так все работает...
R2#p 10.2.2.2
Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/169/300 ms R2#
R2#telnet 10.2.2.2 Trying 10.2.2.2 ... Open
User Access Verification
Password: R1>
|
10 май 2009, 12:13 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Браво, исчерпывающе Не жалейте дней - в них опыт ) ЗЫ На АСА это выглядело бы попроще, для чего её и поставил: static (inside,outside) 10.1.1.99 10.2.2.1 static (outside,inside) 10.2.2.99 10.1.1.1 Ну и ACL на интерфейс по вкусу. А для сетей? Можно? Нельзя? Как или почему.
|
10 май 2009, 21:42 |
|
|
CiscoChainik
|
Берем ASA5505. У неё сзади есть встроенный свитч на 8 портов. R1 подключаем к порту 2 R2 подключаем к порту 3 Настройки Асы - по дефолту: write erase reload после перезагрузки проверить, чтобы интерфейсы e0/2 и e0/3 не были в shutdown
|
26 июл 2009, 14:28 |
|
|
Airgunster
|
Приветствую!
Картинка куда то пропала, можно ее увидеть? :)
|
07 янв 2010, 22:24 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Да, с картинками беда Не знаю, чья вина, но после некоторого события часть картинок, которые размещали люди и я в т.ч. пропали бесследно Вернее были заменены на фейковые файлы Картинка такая:
Вложения:
PingNoRoute.jpg [ 7.91 КБ | Просмотров: 97033 ]
|
08 янв 2010, 00:14 |
|
|
Airgunster
|
О, спасибо, я думаю что совсем замечательно было бы разместить ее в первом посте с самой задачей, ну скажем так восстановить :)
|
08 янв 2010, 01:51 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Да, мысль архиправильная. Сделаю завтра, если не забуду (картинка на другом компе)
|
09 янв 2010, 00:15 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 23 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|